Mielen astianpesukoneesta paljastui vakava tietoturva-aukko

Kirjoittaja Petteri Pyyny @ 28.3.2017 09:09 Kommentteja (3)

Uusi uljas maailma: Astianpesukoneesta paljastui vakava tietoturva-aukko Suomessakin varsin suosittu kodinkonevalmistaja Miele on päätynyt uusimman "esineiden internetin" kohun keskelle. Yhtiön valmistamasta astianpesukoneesta on tietoturva-aukko, jota ei ole paikattu.
Mielen älykäs astianpesukone, jota voidaan hallinnoida verkon yli suoraan selaimella, sisältää varsin tyypillisen käyttäjän antamiin muuttujiin ja niiden tarkistukseen perustuvan tietoturva-aukon. Käytännössä astianpesukone sisältää täydellisen web-palvelimen, mutta käyttäjille näkyvä hallinnointisovellus ei tarkista käyttäjän syöttämien arvojen "puhtautta" ja sallii näin mm. pääsyn web-palvelimen muihinkin hakemistoihin ns. directory traversal-aukon kautta.

Ongelma tuntuu syntyneen siitä, että Miele on lähtökohtaisesti kodinkonevalmistaja eikä nettifirma, joten yhtiöllä ei ole käytäntöjä siitä, miten tietoturva-aukoista raportoidaan yhtiölle päin ja miten ne tulisi käsitellä. Aukon löytänyt Jens Regel kertoo ilmoittaneensa yhtiölle aukosta jo viime vuoden marraskuussa, mutta aukko on edelleen paikkaamatta.

Kyseessä oleva astianpesukone ei ole koteihin tarkoitettu malli, vaan nimenomaan suurkeittiöihin ja vastaaviin tiloihin tarkoitettu Mielen PG 8528.

Tapaus lienee jällen hyvä muistutus siitä, että vaikka kaikki laitteet voidaankin pikkuhiljaa kytkeä nettiin, kannattaa harkita tarkkaan, kannattaako se (kts. mm. aiempi juttumme älydildoista).

Edellinen Seuraava  

3 kommenttia

128.3.2017 13:11

Onko ihan välttämätöstä tunkea kaikki kodinkoneetkin nettiin!
Se on ihan Syvältä!!! Haetaan vain lisää ja lisää ongelmia verkkoliikenteeseen.
Vielä kun sovelluksia tekevät firmat eivät tiedä mitää tietoturvasta
niin käy näi, eika asiaa edes yritetä korjata..
SUCK!!!!!!


Im old man but still alive as well!

228.3.2017 20:17

Lainaus, alkuperäisen viestin kirjoitti captcurzk:
Onko ihan välttämätöstä tunkea kaikki kodinkoneetkin nettiin!
Se on ihan Syvältä!!! Haetaan vain lisää ja lisää ongelmia verkkoliikenteeseen.
Vielä kun sovelluksia tekevät firmat eivät tiedä mitää tietoturvasta
niin käy näi, eika asiaa edes yritetä korjata..
SUCK!!!!!!
Mikään ei pakota yhdistämästä konetta nettiin. On jokaisen oma asia haluaako tuota ominaisuutta käyttää.

Tietokone; Emo=Asus PRIME B450-PLUS, Prosessori=AMD Ryzen 7 2700X, Nayttis=Asus GTX 970 turbo, Muisti=16gb 3200Mhz DDR4, Kovalevytila=250gb SSD/15TB normaali.

328.3.2017 20:20

Lainaus, alkuperäisen viestin kirjoitti mcmopo:
Lainaus, alkuperäisen viestin kirjoitti captcurzk:
Onko ihan välttämätöstä tunkea kaikki kodinkoneetkin nettiin!
Se on ihan Syvältä!!! Haetaan vain lisää ja lisää ongelmia verkkoliikenteeseen.
Vielä kun sovelluksia tekevät firmat eivät tiedä mitää tietoturvasta
niin käy näi, eika asiaa edes yritetä korjata..
SUCK!!!!!!
Mikään ei pakota yhdistämästä konetta nettiin. On jokaisen oma asia haluaako tuota ominaisuutta käyttää.
Olet oikeassa. Onko se sitten kovinkaan järkevä ajatus, sitä miettiköön jokainen joka omistaa tuollaisen laitteen!

Tämän uutisen kommentointi ei ole enää mahdollista.

Tuoreimmat uutiset

Spotify tarjoaa jatkossa ensimmäiset kolme Premium-kuukautta ilmaiseksi Spotify tarjoaa jatkossa ensimmäiset kolme Premium-kuukautta ilmaiseksi (23.8.2019 01:10)
Spotify on kertonut uudesta menettelystä, joka tarjoaa kaikille jatkossa Premium-tilauksesta kiinnostuneille kolmen kuukauden maksuttoman jakson. Tietysti jo aiemmin palvelua on saanut kokeilla ....
Google luopuu herkuista, seuraava Android on pelkkä kymppi Google luopuu herkuista, seuraava Android on pelkkä kymppi (22.8.2019 19:32)
Googlen mobiilikäyttöjärjestelmä pääsi jo viime vuonna kymmenen vuoden ikään ja tuon vuosikymmenen aikana olemme oppineet tuntemaan käyttöjärjestelmäversiot erityisesti herkullisten lisänimien avulla. ....
Samsung julkaisi Galaxy A30s ja Galaxy A50s puhelimet: 4000 mAh akku, 6.4 näyttö, sormenjälkilukija näytön alla Samsung julkaisi Galaxy A30s ja Galaxy A50s puhelimet: 4000 mAh akku, 6.4" näyttö, sormenjälkilukija näytön alla (22.8.2019 19:19)
Hiljattain Samsung julkaisi Galaxy A10s -puhelimen, joka on jatkoa Galaxy A10 -mallille. Nyt yritys julkaisi Galaxy A30s ja Galaxy A50s -puhelimet, jotka molemmat sisältävät 6.4" Super AMOLED ....
HyperX esitteli uusia tuotteita Gamescom-messuilla: pelihiiri, pelikuulokkeet, Aqua kytkin ja muuta HyperX esitteli uusia tuotteita Gamescom-messuilla: pelihiiri, pelikuulokkeet, Aqua kytkin ja muuta (22.8.2019 16:36)
Kingstonin esitteli vähän kaikenlaista uutta Gamescom-messuilla. Kingstonin omistama HyperX sai uudet HyperX Aqua -kytkimet, langattoman pelihiiren ja langattomat pelikuulokkeet. Lisäksi esiteltiin ....
Spotify haastettiin oikeuteen – Käyttää Eminemin musiikkia luvatta Spotify haastettiin oikeuteen – Käyttää Eminemin musiikkia luvatta (22.8.2019 08:28)
Eminemin rap-uran alkuvaiheen julkaisija Eight Mile Style on haastanut suoratoistopalvelu Spotifyn oikeuteen, kertoo The Hollywood Reporter. Haasteen mukaan Spotify ei ole hankkinut Eminemin ....
2 kommenttia

Uutisarkisto